En azından Nisan 2023'ten bu yana, dünya çapında Zimbra işbirliği e -posta sunucuları için kimlik bilgilerini çalmaya çalışan bir kimlik avı kampanyası devam ediyor.
ESET'in bir raporuna göre, kimlik avı e -postaları dünya çapında kuruluşlara, belirli kuruluşlara veya sektörlere özel bir odaklanmadan gönderilir. Bu operasyonun arkasındaki tehdit oyuncusu şu anda bilinmiyor.
ESET araştırmacılarına göre, saldırılar, bir kuruluşun yöneticisinden olduğu gibi, kullanıcıları geçici bir e -posta sunucusu güncellemesini bilgilendiren ve geçici hesap devre dışı bırakılmasına neden olacak bir kimlik avı e -postasıyla başlar.
Sunucu yükseltmesi hakkında daha fazla bilgi edinmek ve hesapların devre dışı bırakılmasından kaçınma talimatlarını incelemek için alıcıdan ekli bir HTML dosyası açması istenir.
HTML ekini açarken, hedeflenen şirketin logosunun ve markanın hedeflere otantik görünmesi için sahte bir Zimbra giriş sayfası gösterilecektir.
Ayrıca, giriş formundaki kullanıcı adı alanı önceden doldurulacak ve kimlik avı sayfasına meşruiyet ödünç verilecektir.
Kimlik avı formuna girilen hesap şifreleri, bir HTTPS sonrası isteği aracılığıyla tehdit aktörünün sunucusuna gönderilir.
ESET, bazı durumlarda saldırganların, kimlik avı e -postalarını kuruluşun diğer üyelerine yaymak için kullanılan yeni posta kutuları oluşturmak için tehlikeye atılmış yönetici hesaplarını kullandığını bildiriyor.
Analistler, bu kampanya için sofistike olmamasına rağmen, yayılmasının ve başarısının etkileyici olduğunu ve Zimbra işbirliği kullanıcılarının tehdidin farkında olması gerektiğinin altını çiziyorlar.
Bilgisayar korsanları genellikle iç iletişimleri toplamak veya bunları hedef kuruluşun ağına yayılmak için ilk ihlal noktası olarak kullanmak için siber casusluk için Zimbra işbirliği e -posta sunucularını hedefler.
Bu yılın başlarında Proofpoint, Rus 'Kış Vivern' hackleme grubunun NATO uyumlu kuruluşların, hükümetlerin, diplomatların ve askeri personelin webmail portallarına erişmek için bir Zimbra işbirliği kusurundan (CVE-2022-27926) kullandığını açıkladı.
Geçen yıl Volexity, 'Temp_Heretic' adlı bir tehdit aktörünün Zimbra işbirliği ürününde posta kutularına erişmek ve yanal kimlik avı saldırılarını gerçekleştirmek için Zimbra işbirliği ürününde sıfır gün kusurunu (CVE-2022-23682) kullandığını bildirdi.
ESET, "Daha düşük BT bütçelerine sahip olması beklenen kuruluşlar arasında Zimbra işbirliğinin popülaritesi, rakipler için cazip bir hedef kalmasını sağlıyor."
QR kod kimlik avı saldırısında hedeflenen büyük ABD enerji organı
Bilgisayar korsanları Facebook Kimlik Avı Saldırısında Salesforce Sıfır Gününden Serbest Yardım
Tehdit Oyuncuları Google AMP'yi kaçamaklı kimlik avı saldırıları için kötüye kullanıyor
Microsoft DNS'yi yanlış yapılandırdıktan sonra hotmail e -posta teslimatı başarısız olur
Lapsus $ hackerlar bir sonraki seviyeye SIM-Swing saldırılarını aldı
Kaynak: Bleeping Computer